Поделиться
Украинские хакеры развернули мощную атаку на российскую промышленность. От пострадавших компаний требуют выкуп в $1-2 млн
Крупные российские промышленные компании начали атаковать новые группировки хакеров. Злоумышленники используют публичные сервисы, чтобы проникнуть в инфраструктуру организаций. За расшифровку данных они требуют выкуп в районе размере $1-2 млн. ИБ-эксперты сообщают, что взламывать российские компании стали намного быстрее: если раньше на это требовалось около трех месяцев, сейчас – всего неделя.
Новая группировка
С середины марта 2023 г. крупные компании из российского промышленного сектора начала атаковать новая группа вымогателей. Об этом пишет ТАСС со ссылкой на представителей компании, работающей в сфере кибербезопасности Group-IB.
О том, что своей жертвой российский промышленный сектор выбрала новая группировка вымогателей Shadow, сообщили эксперты лаборатории компьютерной криминалистики Group-IB. Специалисты зафиксировали сразу несколько атак на крупные организацию
«За расшифровку данных злоумышленники требуют от жертвы сумму от $1-2 млн», – уточнили ИБ-специалисты.
Хакеры оказываются в ИТ-инфраструктуре организаций с помощью уязвимых публичных сервисов. Затем они шифруют данные компаний с помощью версии программы-вымогателя LockBit3, собранной на базе исходного кода, который есть в открытом доступе. Для российской операционной системы Linux злоумышленники используют шифровальщик на основе исходных кодов вымогателя Babuk.
«Вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса, – отмечает Валерий Баулин, генеральный директор Group-IB в России и СНГ. – В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно».
Кто орудует и зачем
Ведущий инженер CorpSoft24 Михаил Сергеев в беседе с CNews уточнил, что Shadow – это группа хакеров-вымогателей, которые занимаются киберпреступлениями с целью получения выгоды. Эта группа известна своими атаками на компании и организации по всему миру. Основной метод, используемый Shadow – кража данных и последующее шифрование их с помощью программ-вымогателей. Затем они требуют от жертвы выкуп за восстановление данных, обычно в виде криптовалюты, например, биткоин. Shadow использует продвинутые техники, чтобы скрыть свои действия и обойти защиту, часто проникают в инфраструктуру компании через скомпрометированный аккаунт сотрудника.
Предположительно атаки могут вестись проукраинскими хакерами – в пользу этого говорит факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры. Это выяснили специалисты Group-IB во время расследования одного из инцидентов. В беседе с CNews основатель компании «Интернет-розыск» Игорь Бедеров предположил, что компьютер, с которого была осуществлена атака, был украинским или был продан на территории Украины.
«Это единственное, что об этой группировке сейчас известно. Кошельки пока находятся на проверке, будут исследованы транзакции, чтобы определить, где снимут полученные деньги», – уточнил Бедеров.
«Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», – уточнили в Group-IB .
После проведения атаки представители Shadow угрожают разместить данные в даркнете и требуют выкуп. В то же время, несмотря на возможную связь с Украиной, представители группировки заявляют, что действуют не из политических соображений – а только с целью обогащения.
Эксперты Group-IB отмечают, что до сих пор в России такой инструмент шантажа среди вымогателей был не распространен. Обычно они угрожали не предоставить ключ для расшифровки данных. Если же говорить о публикации похищенной информации на DLS-сайтах, с такими угрозами чаще сталкиваются американские, европейские и азиатские компании.
Вымогатели обогащаются
По информации экспертов Group-IB, в 2022 г. число инцидентов с целью вымогательства денег в России выросло почти в три раза, если сравнивать с 2021 г. В среднем после атаки организация восстанавливалась две недели.
Чаще всего мошенники используют программы-вымогатели – на них приходится 68% всех кибератак. Самыми агрессивными группами программ-вымогателей в России в 2022 г. стали Phobos, CryLock и Sojusz. Рекордный выкуп от жертвы потребовала кибергруппировка OldGremlin – 1 млрд руб.
Мишенью шифровальщиков, в основном, становились ритейлеры, производственные и страховые компании. Тренды сменились: еще пять лет назад 70% хакерских атак были направлены на финансовый сектор.
ИБ-эксперты отмечают, что еще одной яркой тенденцией 2022 г. на фоне мировой общественно-политической повестки стала активизация политически активных хакеров, которым деньги не нужны. Их цель – остановить работу ИТ-инфраструктуры компании и попасть в заголовки СМИ. Этому способствовало в том числе появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit. Именно их криминалисты Group-IB чаще всего видят в атаках на организации в России.
Как происходит атака
ИБ-эксперты уточняют, что в 2022 г. самой популярной техникой для получения первичного доступа в корпоративные сети стала эксплуатация уязвимостей публично доступных приложений. Так, ее применяли в 61% расследованных инцидентов. Далее по популярности следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Еще год назад банды вымогатели в основном пользовались публичными RDP-серверами (52%).
«Публичные сервисы – это все те веб-интерфейсы, мобильные приложения, почтовые сервисы, CRM-системы, которые компания использует, – объяснил Игорь Бедеров. – Они являются публичными, чтобы внешние пользователи могли с ними взаимодействовать. Нужно сказать, что взлом с их помощью ускорился с трех месяцев до недели, так как хакеры используют более совершенное ПО. Очевидно, что компаниям нужно тщательнее заниматься информационной безопасностью, контролировать контур, проводить регулярные пентесты для выявления возможных каналов для атаки».
Михаил Сергеев уточняет, что для атаки можно использовать уязвимости, среди которых незащищенные протоколы передачи данных, такие как HTTP, FTP и Telnet. Когда данные передаются через эти протоколы, они могут легко перехватываться и украдены злоумышленниками. Также мошенники пользуются уязвимостями в программах-серверах, таких как веб-серверы и базы данных. Если у злоумышленника есть доступ к ним, он может получить несанкционированный доступ к важным данным и системам.
«Далее – слабые пароли и уязвимости аутентификации. Если у пользователя или администратора есть слабый пароль или система аутентификации содержит уязвимость, злоумышленник может легко получить доступ к учетной записи и взломать систему, – объяснил эксперт. – Небезопасные публичные облачные хранилища. Если компания использует облачные хранилища, такие как Amazon S3 или Google Cloud Storage, и не настроила их правильно, данные могут быть доступны для злоумышленников. Уязвимости в сторонних программных компонентах и библиотеках – компании часто используют сторонние библиотеки и компоненты в своих приложениях, и если эти библиотеки содержат уязвимости, злоумышленник может использовать их для атаки».
Также мошенники используют небезопасные сетевые протоколы и службы, такие как SNMP, RDP и SSH. Если эти протоколы не защищены правильно, злоумышленник может получить доступ к системам и данным. Фишинговые атаки, которые могут быть направлены на сотрудников компании. Злоумышленники могут использовать фишинговые письма и сайты, чтобы получить доступ к учетным записям и системам.
Еще один способ получения первоначального доступа к ИТ-инфраструктурам компаний, уточняют эксперты Group-IB – это компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. Хакеры использовали метод brutforce или перебор паролей, или данные, похищенные с помощью инфостилеров – это тип вредоносного ПО для кражи данных онлайн-кошельков, логинов, паролей. Также мошенники часто перекупали данные у брокеров первоначального доступа.
В беседе с CNews Евгений Качуров, эксперт по информационной безопасности компании Axenix добавляет, что в инфраструктуру компании мошенники также могут попасть с помощью социальной инженерии, ошибок в конфигурации ИТ-инфраструктуры и механизмов обеспечения ИБ компании. По его словам, предотвратить ущерб можно лишь повышением осведомленности сотрудников, антивирусной защитой и мониторингом ИБ-событий.
«Шифрование данных – худший вариант взлома, так как все данные можно считать полностью потерянными, – отмечает Сергеев. – А это остановка бизнеса и серьезные финансовые потери. Кроме того, оплата не гарантирует, что данные будут успешно восстановлены, поэтому даже после выплаты компания может потерять свои данные. Атаки вымогателей представляют серьезную угрозу для бизнеса, поэтому компании должны обеспечивать свою инфраструктуру достаточными мерами безопасности, включая установку обновлений, сложные пароли, многофакторную аутентификацию и другие меры для предотвращения атак со стороны вымогателей».
Короткая ссылка
